現象
次のような状況を考えます。
-
Windows Server 2008 R2 または Windows 7 を実行しているコンピューターでは、グループ ポリシー オブジェクト (GPO) を管理するのにグループ ポリシー管理エディターを使用します。
-
GPO の「ユーザー権利の割り当て」の設定に多くの変更を加えるこれら設定に、サービスごと SID がある定義されています。
このシナリオでは、グループ ポリシーを適用すると、次の次の問題が発生可能性があります。
-
SceCli 1202 イベントがアプリケーション イベント ログに追加されます。
SceCli 1202 イベント ログ エントリの例は次のとおりです。 -
いくつかのアプリケーションまたはサービスが起動しない場合があります。これらのアプリケーションまたはサービスは、セキュリティ設定を構成するのにサービスごとの SID を使用します。
次に例を示します。-
Windows Server 2008 R2 ベースのメンバー サーバー上には、Active Directory ドメイン サービスをインストールします。
-
Windows Server 2008 R2 または Windows 7 を実行しているコンピューターから GPO の「ユーザー権利の割り当て」の設定に変更を加えます。
-
Windows Server 2008 R2 を実行しているドメイン コント ローラーには、この GPO が適用されます。
この状況で問題が発生します。「診断システム ホスト」サービスなど一部のサービス問題が発生したため開始できません。
-
原因
グループ ポリシー管理エディターは、[ユーザー権利の割り当て] の設定を変更するときは、サービスごとの Sid サービス名を変換します。たとえば、「WdiSystemHost」はサービス名です。
グループ ポリシー管理エディターでは、内部「NT サービス」ドメイン ルックアップを実行するサービス名前にプレフィックス「NT サービス」は追加されません。グループ ポリシー管理エディター書き込みます既に解析の名前、GptTmpl.inf ファイルを既定の Active Directory ドメインに対して"WdiSystemHost"名のみを解決しようとします。ただし、この試みは失敗します。さらに、"WdiSystemHost"文字列は、SID の代わりに、GptTmpl.inf ファイルに書き込まれます。この現象は、サービスごとの SID をサービス名に置き換えます。
次のポリシー更新が発生した場合、更新の場合と、ユーザー アカウントまたはグループ アカウントに sid サービス名を解決しようとします。ただし、これが失敗、エラー 0x534「アカウント名とセキュリティ Id 間のマッピング実行されませんでした。」と